Existem muitas plataformas de ensino que auxiliam estudantes e profissionais a aperfeiçoarem suas habilidades de pentest, neste artigo estarei compartilhando como foi a minha experiência com a academia do Hack The Box. Adianto que foi muito difícil, mas ao mesmo tempo trouxe um resultado imediato ao meu dia a dia.

Existem muitas formas de utilizar a plataforma, é possível tanto escolher individualmente os módulos quanto optar por trilhas que reunirá as lições por um tema em comum. As dificuldades são divididas entre o nível zero e quatro. Há também a opção de conseguir as certificações: HBT Penetration Testing Specialist, Bug Bounty Hunter e Defensive Security Analyst. 

Optei em seguir pela trilha de Bug Bounty Hunter que também é o requisito mínimo para conseguir a sua certificação. Aqui meu objetivo foi desenvolver minhas habilidades em pentest web através dos 20 módulos do nível iniciante ao médio composto pela trilha. Com conteúdo que explora desde a base sobre requisições web, subdomínios, verbos HTTP, configurações de proxies, quanto explicações sobre ataques do lado do cliente e do servidor.

Algumas barreiras que encontrei pelo caminho:

– Os módulos são totalmente em texto, não existe nenhum áudio ou vídeo conduzindo seus aprendizados;
– 100% inglês;
– Eventualmente problemas técnicos surgiam, não por culpa da plataforma, mas por conta da complexibilidade de realizar certos testes;
– Os laboratórios são realmente difíceis.

Método que me ajudou a concluir a trilha diante a essas barreiras:


– Não ter pressa: fazer anotações durante cada fase dos módulos e laboratórios é muito importante para absorver bem o aprendizado, no meu caso optei em usar o Notion;
– Se apoiar na comunidade: existem muitas pessoas que passou pelo módulo que você está, isso permiti aproveitar as dúvidas que foram publicadas nos fóruns para te apoiar nos momentos que você travar em algum laboratório.
– Lidar com a frustração de não conseguir resolver os laboratórios: pelo menos comigo isso aconteceu várias vezes e desconectar, dar um tempo de um dia, fazer um passeio e depois voltar ao exercício me ajudou muito a recuperar a energia para seguir em frente.
– Ler em inglês por mais que ajudasse a desenvolver minha habilidade no idioma também dificultava a progressão no módulo, o que fez com que muitas vezes eu optasse em usar o Google Chrome para traduzir automaticamente as páginas.
– Eu uso o Linux em sua versão wsl2 no windows 11 e para agilizar alguns testes aplicar essa configuração de rede foi fundamental: https://learn.microsoft.com/en-us/windows/wsl/networking

E vale a pena passar pelas dificuldades? Sem sombra de dúvidas

A trilha focada em pentest web possui módulos muito bem construídos com ótimas explicações e é bem detalhada, sempre com alguma introdução e se for necessária alguma base de conhecimento antes você será avisado (por isso é importante seguir a ordem da trilha). Elas são totalmente práticas indicando wordlists, ferramentas, scripts, lista de comandos e com laboratório em quase toda fase do módulo.

Dois pontos que se destacaram muito para mim é que no final de cada módulo existe um laboratório completo abordando os assuntos referentes ao que você aprendeu. Como se fosse um CTF. O segundo ponto é que na maiora dos módulos existe uma sessão exclusiva para falar sobre recomendações de segurança para evitar ou dificultar que aquele tipo de ataque tenha sucesso, essa parte é fundamental na hora de apoiar a sua empresa nos assuntos relacionados a proteção de dados.

Investimento

Existem vários planos e você pode decidir pelo que fizer mais sentido, aconselho antes de tudo realizar alguns módulos disponíveis gratuitamente para se habituar com a plataforma e ver se vai fazer sentido seguir por esse tipo de estudo onde é tudo por texto. O plano mais básico é o de estudante em que se precisa ter um e-mail institucional para habilitar essa opção, e poderá pagar 8 dólares/mês (mais barato do que uma Netflix). Se não for estudante poderá investir 18 dólares/mês (90 reais). Lembrando que é possível adquirir módulos individualmente por um valor sob demanda.

A academia do Hack The Box ainda não é uma plataforma muito conhecida no Brasil, mas de toda forma recomendo! Estão sempre atualizando os módulos e trazendo outros novos. Acesse e descubra: academy.hackthebox.com

Autor

  • Mauricio Vaz Correia

    Apaixonado pela Arte e pela Tecnologia escolheu a Segurança da Informação como carreira profissional. Com isso aproveitou o cenário de CyberSecurity para se tornar um jogador de CTF, buscando sempre o aprimoramento de suas skills hacking.

    Ver todos os posts

Views: 338